phpMyAdmin по-русски
   О проекте  |  Скачать  |  Документация  |  Форум
  
Главная страница / Новости / phpMyAdmin /

Уведомление безопасности phpMyAdmin №1 2005

уведомление безопасности phpMyAdmin
Announcement-ID: PMASA-2005-1
Date: 2005-02-25

Сводка:
Уязвимость, заключающаяся в возможности инъекции переменной была обнаружена в phpMyAdmin, что позволяло нападающему осуществить межсайтовый скриптинг (XSS) и / или включение удаленного файла.

Описание:
Группа разработчиков получила два баг-репорта от Maksymilian Arciemowicz о данных уязвимостях. Уязвимости включают следующие пункты:
1. css/phpmyadmin.css.php был уязвим для инъекций $cfg и глобальных (GLOBALS) переменных. Таким образом, вероятный атакующий мог манипулировать различными конфигурационными параметрами. Используя механизм тем phpMyAdmin, атакующий имел возможность включения произвольных файлов. Опасность в данном случае усугублялась, если php не был запущен в безопасном режиме (safe mode).
2. Возможный атакующий мог управлять локализованными строками phpMyAdmin через URL и внедрять вредоносный JavaScript, который мог использоваться для XSS атак.

Серьезность:
Команда разработчиков полагает, что обе уязвимости являются серьезными.

Затронутые версии:
Поскольку для того, чтобы выполнить отдаленное включение файла, использовался механизм тем - затронуты только 2.6 ветви. Относительно XSS атак, мы полагаем, что затронуты все версии ранее 1.3.1.

Незатронутые версии:
CVS HEAD, QA_2_6_0 и QA_2_6_1 были исправлены. Текущая версия, 2.6.1-pl2, не уязвима до тех пор пока phpMyAdmin запущен с "register_globals = off".

Решение:
Настоятельно рекомендуется каждому обновить phpMyAdmin до 2.6.1-pl2 или более поздней версии и запретить register_globals по крайней мере для директории phpMyAdmin.

Ссылки:
http://sourceforge.net/tracker/index.php ?func=detail&aid=1149381&group_id=23067&atid=377408
http://sourceforge.net/tracker/index.php ?func=detail&aid=1149383&group_id=23067&atid=377408
Опубликовано: 2005-02-25